Почему XMEye нельзя использовать?

XMEye - это бесплатный облачный сервис для удаленного видеонаблюдения от китайской компании Xiongmai, которая является крупным OEM-производителем модулей и плат для систем видеонаблюдения на азиатском рынке. Компания основана в 2009 году, центральный офис располагается в Ханчжоу, штат 3000 сотрудников.

Для большинства обычных людей Xiongmai абсолютно безлика и неизвестна, однако она достаточно широко известна в узких кругах. Дело в том, что они не продают ни камер, ни видеорегистраторов под своим брендом, а реализует свои продукты, используя концепцию white label.

В результате пользователь, покупая камеру или видеорегистратор российского производства (так вам скажут менеджеры по продажам), на самом деле купит скромные устройства от Xiongmai (этого менеджеры вам не скажут). И это конечно полное фиаско, так у всего, что делает Xiongmai +100500 проблем, однако знать вы об этом не будете, так как будете думать, что купили оборудование российского производства. Это одна из 7 наиболее распространенных подстав на рынке видеонаблюдения. 

Однако, я отвлекся, вернемся к XMEye. XMEye - это P2P (peer-to-peer) сервис, разработанный для того, чтобы помочь пользователям получить доступ к своим видеокамерам и цифровым видеорегистраторам из любой части мира практически без какой-либо настройки. Для работы с XMEye требуется подключение к сети интернет. Устройства Xiongmai подключаются к нему автоматически по уникальному идентификатору устройства UID, который строится на базе мас-адреса устройства, даже если это устройство попало к пользователю под другим брендом. На данный момент в мире к XMEye подключено порядка 9 млн. устройств.

Возможности XMEye:

• Удаленный доступ к системе видеонаблюдения, просмотр живого видео, архивного видео
• Двусторонняя аудиосвязь
• Управление PTZ-видеокамерами
• Отображение до 16 видеокамер в мобильном приложении
• Сохранение видеозаписей, фото

Преимущества XMEye:

• Он бесплатен

Недостатки XMEye:

Если список преимуществ минималистичен, то в списке недостатков целый зоопарк, начнем с самого зашкварного проблем с кибербезопасностью.

Ужасная кибербезопасность

Вообще о Xiongmai стало известно именно из-за проблем с кибербезопасностью, впервые о них заговорили в 2016 году в связи с мощной атакой ботнета Mirai на сайты американских компаний, который использовал уязвимости IoT-устройств (маршрутизаторы, IP-видеокамеры, телевизоры) и поражал их, распространяя на эти устройства свой код. В этой массе скомпрометированных устройств в большинстве были устройства Xiongmai.
Все устройства на базе запчастей Xiongmai поставляются с функцией «XMEye P2P Cloud», это проприетарный протокол на основе UDP, который позволяет пользователям получать доступ к своим IP-камерам или видеорегистраторам через Интернет. Эта функция включена по умолчанию, настройка пользователем не требуется.
Устройство инициирует и поддерживает соединение с облачным сервером Xiongmai. Все соединения между клиентами и устройствами устанавливаются через облачные серверы Xiongmai. Удивительно, но функционал XMEye позволяет злоумышленнику атаковать устройства, которые находятся за брандмауэрами или сетями с NAT.
Все уязвимости Xiongmai условно можно разделить на облачные, т.е. уязвимости XMEye, и физические, т.е. уязвимости устройств, которые производит Xiongmai. Начнем с облачных.

Облачные уязвимости XMEye

В облаке нет защиты от перебора UID
Специалисты крупной консалтинговой компании в области кибербезопасности Sec Consult провели исследование и выяснили, что компания Xiongmai приложила большие усилия для создания своей облачной инфраструктуры под приложение XMEye. Они нашли, что облачные мощности Xiongmai используют Amazon Web Services (Германия, США, Сингапур, Япония), Radore (Турция), Alibaba, Kingsoft, Cloud VSP (Китай) и другие сервера по всему миру. Исследователи не пытались скрыть активность сканирования облака и отправляли более 33 000 запросов с одного IP-адреса, но запрета на доступ к облачной инфраструктуре не последовало. 

Уникальный идентификатор устройства можно вычислить
Уникальный идентификатор устройства или UID, по которому происходит подключение, - это шестнадцатеричная строка длиной 16 символов. Любой, кто знает идентификатор устройства и учетные данные администратора, может установить соединение с устройством с помощью приложений XMEye. Идентификатор UID не случайно сгенерированное число, он определяется из MAC-адреса устройства с помощью нескольких простых операций (например, get_sn_from_mac). Зная диапазон мас-адресов, используемых Xiongmai, злоумышленник может перебрать потенциальные MAC-адреса и UID и найти действующие. 
Затем можно использовать учетные данные устройства, заданные по-умолчанию, и попробовать подобрать, для входа на устройство. Тогда злодей может получить доступ к видеопотоку, возможность изменять конфигурацию устройства, обновлять прошивку, а также получает возможность удаленно выполнять свой злодейский код, именно так и действовал червь Mirai.

Уязвимости устройств Xiongmai

Незащищенные учетные записи
Большинство сетевых взломов происходят при использовании стандартных админских учетных записей, которые не были изменены пользователем после включения устройства. Это классика кибербезопасности (и относится, конечно, не только к устройствам Xiongmai, но многие пользователи беспечно игнорируют это правило) - включил IP-устройство - создай свою админскую учетную запись, закрой ее паролем и отключи встроенного админа, ну или, как минимум, надо заменить пароль на встроенной админской учетке. 

Но в случае с Xiongmai это мелочь, на некоторых устройствах Xiongmai по-умолчанию существует учетная запись пользователя default (с паролем tluafed), назначение этого пользователя не задокументировано, но у него есть, по крайней мере, доступ к просмотру видеопотоков.

Производитель не подписывает прошивки
Почему это опасно. Это означает, что можно установить любую как угодно и кем угодно измененную прошивку. Так, в принципе, злодейский код и попадал на взломанные видеорегистраторы и IP-камеры.

Открытые незащищенные порты
Например не закрыт порт telnet 9530, о чем компания XIongmai заботливо сообщает на своем сайте. Сетевой протокол Telnet нужен для реализации текстового терминального интерфейса поверх транспортного протокола TCP. У Telnet есть свой синтаксис, и понимает он только текстовые команды, с этим протоколом не используется шифрование и без парольной защиты это серьезная уязвимость. Как минимум, используя открытый порт Telnet, можно посмотреть текущие настройки устройства. Тут статья про дырявый Telnet и его уязвимости.

Другие уязвимости
В базе данных NIST (национальная база данных уязвимостей) зарегистрированы и другие уязвимости устройств Xiongmai, например,CVE-2017-16725 или
переполнение буфера на основе стека в видеокамерах и видеорегистраторах Xiongmai. Эта уязвимость позволяет имитировать сбой устройства и ввести его в уязвимое состояние. Еще уязвимость CVE-2017-7577, которая позволяет читать произвольные файлы через http-запросы. И  еще CVE-2018-10088, которая также связана с переполнением буфера.

Есть и забавное, в некоторых случаях, когда были инциденты с приложением XMEye, когда при возникновении ошибки 11301 китайская техподдержка рекомендовала отключить парольную защиту на устройствах (см. ошибка 11301). Оставим эту рекомендацию без комментариев. 

Проблемы с доступом

17 апреля 2018 года Роскомнадзор начал охоту на мессенджер Телеграмм, в результате пострадали совершенно посторонние ресурсы, но только не Телеграмм. Например, Роскомнадзор заблокировал 786 тысяч сетевых адресов Amazon и 1 млн. адресов Google. 

В результате пользователи XMEye потеряли доступ к своей системе видеонаблюдения. 

Естественно, «XMEye» не откажется от серверов на мощностях «Амазона» только из-за проблем с доступом с территории России.

Медленное соединение

Отзывы на XMEye в гугл сторе можно читать как стену плача. Одна из частых жалоб это очень медленный доступ к архивным видеозаписям, бесконечная буферизация живого видео, дисконнекты и лаги даже при высокой скорости интернета и стабильном соединении. 

Дело в том, что при работе через интернет без настройки статического внешнего IP подключение к системе видеонаблюдения происходит по UID видеорегистратора или видеокамеры, но облачный сервис кидает того, кто подключается между своими облачными серверами, перед тем как пользователь попадает в свою систему. 

Вы, конечно, можете для стабилизации соединения использовать статический IP и/или проброс портов на роутере до регистратора или видеокамеры (в этом случае можно вообще обойтись без облака, тем более такого сомнительного). Также, улучшить качество соединения можно, если в настройках регистратора для одного из потоков установить приоритет скорости, а не качества видео, и с этим же потоком работать в приложении, но все равно придется страдать.

Ограничения в выборе оборудования

Воспользоваться облаком XMEye могут только устройства с начинкой Xiongmai, но так как все оборудование, которое производит Xiongmai, продается под разными брендами, с первого взгляда на недорогую видеокамеру или видеорегистратор китайского или российского сборщика может быть неочевидно, что за производитель сделал начинку и поддерживает ли оно XMEye. 

Некоторые бренды еще в спецификации на свои устройства прямо указывают, что они совместимы с XMEye. Но бывают и такие, которые не делают на этом акцентов (на али, например). В этом случае может помочь прямой запрос к продавцу. 

Понятно, что кроме Xiongmai есть куча брендов на рынке видеонаблюдения, которые будут несовместимы с облаком XMEye. И поделать с этим ничего нельзя, кроме как отказываться от XMEye и организовывать доступ другим способом.

Какое оборудование поддерживает XMEye
Xiongmai выпускает модули для IP-камер, AHD-видеокамер, гибридные модули для XVI-AHD видеокамер, платы для NVR, платы для AHD и гибридных XVI-AHD видеорегистраторов. Соответственно, доступ к облаку могут иметь IP-видеокамеры, сетевые видеорегистраторы или AHD (XVI-AHD) видеорегистраторы.

Из Российских компаний это: Novicam, Polyvision, Satvision, Amatek, Proto-X, BSP Security, iVue, Top Vision. Это все конечно засада так вы вроде покупаете камеры описанных выше брендов, а на самом деле дырявое облако и дырявое железо Xiongmai.

И бесконечный список иностранных OEM брендов, вот только некоторые: 9Trading, Abowone, AHWVSE, ANRAN, ASECAM, Autoeye, AZISHN, A-ZONE, BESDER/BESDERSEC, BESSKY, Bestmo, BFMore, BOAVISION, BULWARK, CANAVIS, CWH, DAGRO, datocctv, DEFEWAY, digoo, DiySecurityCameraWorld, DONPHIA, ENKLOV, ESAMACT, ESCAM, EVTEVISION, Fayele, FLOUREON , Funi, GADINAN, GARUNK, HAMROL, HAMROLTE, Highfly, Hiseeu, HISVISION, HMQC, IHOMEGUARD, ISSEUSEE, iTooner, JENNOV, Jooan, Jshida, JUESENWDM, JUFENG, JZTEK, KERUI, KKMOON, KONLEN, Kopda, Lenyes, LESHP, LEVCOECAM, LINGSEE, LOOSAFE, MIEBUL, MISECU, Nextrend, OEM, OLOEY, OUERTECH, QNTSQ, SACAM, SANNCE, SANSCO, SecTec, Shell film, Sifvision/sifsecurityvision, smar, SMTSEC, SSICON, SUNBA, Sunivision, Susikum, TECBOX, Techage, Techege, TianAnXun, TMEZON, TVPSii, Unique Vision, unitoptek, USAFEQLO, VOLDRELI, Westmile, Westshine, Wistino, Witrue, WNK Security Technology, WOFEA, WOSHIJIA, WUSONLUSAN, XIAO MA, XinAnX, xloongx, YiiSPO, YUCHENG, YUNSYE, zclever, zilnk, ZJUXIN, zmodo и ZRHUNTER.

Наверняка есть и другие вендоры, кто покупает IPS или платы для регистраторов у Xiongmai и выпускает видеокамеры или NVR под своим брендом.

Постоянные ошибки

В работе с приложением XMEye пользователь частенько может столкнуться с ошибками, которые описаны ниже.

код ошибки 100000
Код ошибки классифицируется как: «Неизвестная ошибка» (то есть данная ошибка может возникать в различных случаях, например, когда не получен ответ от сервера, имеется проблема в настройках системы безопасности смартфона, неправильные настройки устройств). Часто такая ошибка встречается при конфликте IP адресов в сети. Например, если вы подключили видеорегистратор или видеокамеру в сеть с другими сетевыми устройствами и не изменили сетевые настройки устройства. Для избежания конфликта IP адресов лучше всего настраивать IP адреса устройств в сети вручную. Но если вы все проверили и уверены, что конфликта IP адресов нет, а ошибка осталась, нужно обратиться в техподдержку XMEye (на английском) с указанием проблемы, кода ошибки и UID вашего устройства. Официальная почта техподдержки XMEye: xmeye@xiongmaitech.com

код ошибки 11307
Ошибка 11307 возникает при попытке удаленного подключения к устройству и связана с  политикой среди интернет-провайдеров, прятать своих абонентов за внутренний NAT (хотя, при отсутствии блокировок для XMEye NAT не проблема). Интернет провайдер меняет внутренние IP адреса своих абонентов и блокирует порт 34567, по которому XMEye получает доступ к облаку. Препятствий на пути прямого подключения по нужному порту до китайского сервера XMEye довольно много: и внутренняя маршрутизация провайдера, и различные факторы, влияющие на стабильность подключения к внешнему интернету и сервисам, работающим на стороне внешней сети. Вообще, все, что касается интернет соединения к сервисам других стран, в последнее время со стороны РФ жестко фильтруется. Ошибка 11307 у клиента часто возникает именно на мобильном интернете. Мобильные провайдеры обрабатывают трафик через несколько внутренних маршрутизаций, и порт 34567 по которому сервера XMEye подключаются к своим клиентам, в процессе этой маршрутизации блокируется сетью провайдера на каком-то из этапов.

Как можно избежать этой ошибки - внешний статический IP системы видеонаблюдения и проброс портов до видеорегистратора или видеокамеры. Можно изменить порт по-умолчанию для соединения через облако на регистраторе и указать эти настройки в XMEye. 

код ошибки 10005
При попытке подключения XMEye к видеорегистратору появляется окно с сообщением «Connection network time out, try again. Error code:-10005» или «время подключения к сети истекло, пожалуйста, попробуйте позже». Такая ошибка появляется обычно, когда видеорегистратор подключен к сети через мобильный интернет 3G/4G, проблема в нестабильном соединении, которым страдает мобильный интернет.
Эта ошибка лечится путем налаживания более стабильного соединения. Если нет варианта использовать проводное подключение типа PPPoE, то нужно как-то обеспечить более качественный сигнал на 3G/4G модеме, обычно это помогает. Можно использовать специальные внешние антенны типа MIMO для USB модемов. Антенну следует направлять на базовую станцию сотового оператора. Если интернет соединение на вашем регистраторе стабильное, а ошибка все равно появляется, то причина может быть на китайской стороне и для устранения надо написать письмо в техподдержку XMEye (см. код ошибки 100000).

код ошибки 604000 и 605000
Эти ошибки появляются во время проведения работ на китайских серверах (обновление, технические работы и т.д.). В этом случае нужно подождать, если подключение не восстанавливается длительное время, то направить письмо в техподдержку (см. код ошибки 100000).

код ошибки 999987 и 99993
Появление ошибок 999987 или 99993 связано с тем, что кто-то или что-то блокирует трафик из вашей сети, еще один вариант - блокировка IP-адресов серверов XMEye со стороны РФ. Для возобновления работы удаленного видеонаблюдения можно попробовать настроить VPN.  

код ошибки 99994
Ошибка 99994 появляется довольно редко, по сравнению с другими ошибками. Она указывает на проблемы с сетевым соединением. Хотя это и неточно. Лучшее решение - проверить сетевое соединение на всех устройствах, если уверенность в соединении с сетью стопроцентная, то обращаться в техподдержку за разъяснением (см. код ошибки 100000).

код ошибки 11301
Ошибка 11301 стала появляться у пользователей после обновлений Android и iOS, и суть ее в некорректном логине или пароле на подключаемом устройстве. Понятно, что и логины и пароли у пользователей были верные. В 2017 году китайская техподдержка рекомендовала, как временное решение для восстановления удаленного доступа, убрать вообще авторизацию на устройствах. Так себе решение, конечно. Судя по тому, что ошибке этой три года, а она до сих пор появляется, то нет ничего более постоянного, чем временное решение.

код ошибки 11303
Ошибка 11303 «пользователь заблокирован» появляется, если на удаленное устройство, на котором создан пользователь с логином и паролем, была совершена попытка удаленного доступа с подбором пароля. После некоторых неудачных попыток подбора учетная запись блокируется от возможного взлома, хотя это мог быть и хозяин видеокамеры, который позабыл пароль. Учетная запись разблокируется после перезагрузки устройства по питанию.

код ошибки 11204
Эта ошибка появляется, если слишком много пользователей хотят получить удаленный доступ к видеорегистратору или видеокамере. Одновременный доступ могут иметь до 5 пользователей.

Аналог XMEye

Никаких хороших и одновременно бесплатных аналогов XMEye не существует. Но конечно множество способов получить удаленный доступ к своим камерам. 

Безусловно, лучшим из всех будет VPN, лучший он не потому, что можно обойтись без абонентки (денег стоит оборудование и настройка), а потому, что используя его, вы получаете один из самых высоких уровней безопасности.

VPN — это зашифрованное безопасное соединение между пользователем и сетью, или между сетями. VPN не заменяет интернет-подключение, а работает «поверх» него. Сначала интернет-трафик шифруется, затем направляется провайдеру, после чего пересылается на VPN-сервер. Этот сервер расшифровывает трафик и отправляет получателю уже дешифрованные данные.

Сегодня существуют разные протоколы VPN-соединения, их детальный разбор выходит за рамки этой статьи. Однако я бы выделил среди них IPsec IKEv2 и OpenVPN.

Оба протокола хороши и надежны, OpenVPN требует установки своего приложения, которое всегда должно быть запущено на устройствах, что, может быть несколько, неудобно в использовании, IKEv2 же «вшит» но только в iOS, macOS и Windows и является для них нативным, не требуя установки никакого дополнительного ПО. Для Android потребуется ставить приложение, например strongSwan он выпускаться под лицензией GPL.

Вывод

Если вы вляпались в XMEye, то постарайтесь максимально быстро свалить с этого облачного сервиса, да, придется вложиться в оборудование и настройку VPN, но это избавит вас от множества проблем. Как не вляпаться, выбирая видеонаблюдение, читайте здесь.

Второй совет сваливать с брендов, которые OEMятся у Xiongmai. Ведь все что производит Xiongmai это сплошная дыра в плане безопасности, проблема в том, что вы практически всегда не знаете, что вы купили, так Xiongmai продается под другими брендами. А эти бренды естественно вам рассказывать о том, что они OEMятся у Xiongmai не будут.

Пока вы не соскочили Xiongmai вот вам список неотложных действий, которые помогут вам хоть как то обезопасить себя.

Первое что, нужно сделать запретить камере доступ к интернету, это больно, но безопасность дороже

• Меняем шлюз на заведомо ложный
• Ставим ложные DNS
• Меняем стандартный Tcp порт управления с 34567 на другой (например, 1842)

Второе отключаем облачный P2P сервис в настройках. 

Третье, отключаем все ненужные службы.

Четвертое, ставим ограничение по доступу с определенных IP адресов в нашей локальной сети.

Пятое, ставим надежный пароль.

Но, есть и хорошая новость, рынок видеонаблюдения конкурентный, и выбрать есть из кого, можете начать с изучения этого списка 50 крупнейших производителей видеонаблюдения в мире. Там тоже есть хлам, но есть и крутые производители.

Ну, и самое важное — ваше мнение

Ничто так сильно не мотивирует меня писать новые статьи как ваша оценка, если оценка хорошая я пилю статьи дальше, если отрицательная думаю, как улучшить эту статью. Но, без вашей оценки, у меня нет самого ценного для меня - обратной связи от вас. Не сочтите за труд, выберете от 1 до 5 звезд, я старался.